La distribution Tails, spécialisée dans l’anonymat, comporte des failles 0-day

after_burner a écrit :

Je visais pas particulièrment linux, mais globalement les technologies dont le code est consultable, comme openssl par ex.

Le fait que le code soit lisible est forcément à double tranchant, ça facilite les recherches de faille en vue d’appliquer des corrections mais ceux qui font ces recherche ne le font pas tous dans le but d’être communiqué pour apporter des corrections.

Comme le dit la news, le cas d’exodus est particuliers puisqu’ils travaillent avec des agences de renseignements, et leur but habituel n’est donc pas de communiqué ces failles aux développeursde logiciels. " />

Si ça ce trouve, ils en ont trouvées certaines qu’ils n’ont pas indiquées. " />


D’un autre côté, si tu croises une vieille femme dans une ruelle sombre, tu as le choix entre:

• lui arracher son sac et gagner de l’argent facilement
  


• ne rien faire
  Contrairement à la logique, tu vas ne rien faire.
  
  Je ne dis pas que tout le monde est gentil, mais qu’il y a plein d’éléments qui poussent l’individu à respecter son prochain (cela va des conséquences sociales à l’empathie ou à la volonté de ne pas générer une situation à laquelle on peut soi-même être la victime un jour).
  
  Sinon, pour les logiciels open-source, ce qui me rassure le plus, niveau sécurité, c’est que contrairement au cas des logiciels à source fermée:
  


• le fait que si j’ai besoin de la technologie, je ne suis pas obligé de mettre de côté ma confiance: si je n’ai plus confiance dans un acteur, je peux passer chez qlq’un d’autres bien plus facilement si la technologie est open-source que si elle est fermée.
  


• l’indépendence de ceux qui garantissent ces logiciels et la possibilité de pouvoir vérifier par moi-même (ou de pouvoir entendre l’opinion de bcp de gens ayant pu vérifié par eux-même) plutôt que de devoir me baser sur un témoignage.
  
  Tout ça pour dire: bien sûr qu’il y a des failles dans l’open-source. Mais si je trouve qu’il est plus digne de confiance, ce n’est pas parce que je croyais qu’il y avait moins de failles dans l’open-source
  (par contre, si j’ai bien compris, c’est l’opinion des “open-sourcistes” à la Eric S Raymond)
  

Jed08 a écrit :

Je vois pas en quoi être open source facilite le passage d’une solution à une autre.


Les exemples ne manquent pas.
Encore récemment, OpenSSL a perdu un peu de confiance (pas parce que ses développeurs sont des méchants, mais bon) et maintenant, il y a LibreSSL qui arrive.
Cela fait des décennies que le protocole MSN et Skype sont utilisés avec suspicions. Quand j’en parle avec mes amis qui les utilisent et que je leur dis: “tu as entendu des rumeurs comme quoi le protocole / logiciel / … fait des trucs louches”, ils répondent: “oui, je ne fais pas trop confiance à ce truc, mais bon, c’est soit ça, soit ne pas pouvoir profiter des avantages qu’ils offrent”.
Si ces protocoles étaient open-source, cela ferait longtemps qu’ils auraient changés d’“intermédiaire” sans perdre les avantages.


Tu te contredis là ! Dans les deux cas tu te bases sur des témoignages.

Non non.
Ce que j’appelle un témoignage, c’est une déclaration faite par un témoin, c-à-d un récit qu’on ne peut pas vérifier autrement que par la déclaration du nombre limité de témoin.
Dans le cas où je peux vérifier moi-même, il n’y a pas de témoignage, il y a juste des vérifications.
Si qlq’un dit: “j”étais là, la pomme est tombé (maintenant, on l’a ramassée et elle a disparu)“, c’est un témoignage.
Si qlq’un dit: “la pomme est par terre, tu peux aller voir”, c’est totalement différent. Et je n’ai pas besoin d’aller voir moi-même, si quelqu’un d’autre vérifie à ma place, il ne va pas mentir, car dans ce cas, plein de gens pourront le traiter de menteur.

Le problème n’est pas l’information donnée, c’est la confiance sur l’information donnée:
si c’est un témoignage, c’est que c’est une information que seule les témoins connaissent, et s’ils ne sont pas d’accord entre eux, impossible de trancher.
si c’est ouvert à la vérification, seul un débile mental choisirait de mentir.


Et jusqu’à il y a pas longtemps, les témoignages disaient que openssl était sûr.

On s’en contre-fout des témoignages selon lesquels un code est sur.
Ce qui compte, c’est le fait que n’importe qui peut vérifier une affirmation.
Du coup, on s’en fout que ce soit moi ou pas qui fasse la vérification, le fait que la vérification soit ouverte à tous implique que personne n’a intérêt à mentir sous peine de passer pour un con et perdre toute crédibilité (qui, dans le libre, est très très importante).


De plus, tout dépendra de la qualité des témoins. Je suis désolé mais si demain Bruce Schneier audite le code source de Windows pour le gouvernement américain et qu’il dit qu’il est sûr, c’est pas tous les linuxiens de France qui répèteront que sans source le témoignage ne vaut rien qui m’empêchera de recommander Windows.

C’est exactement ce que je dis:

• si demain SchneierA dit que Windows est sur et que SchneierB dit que Windows n’est pas sur, tu devras faire confiance à quelqu’un.
  


• si demain SchneierA dit que Linux est sur et que SchneierB dit que Linux n’est pas sur, il va y avoir une discussion publique et l’un des deux va soit perdre sa crédibilité, soit finalement se ranger sur l’avis de l’autre (ou dans le pire des cas, tu pourras te faire ton avis sur base du débat public).
  
  Ensuite, bien sur, tu peux trouver très facilement des exemples où tu as des discours très peu crédibles qui défendent le logiciel libre.
  Sauf que les discours peu crédibles, seuls les idiots y croient.
  
  
  Car j’espère que tous les linuxiens parlant de sécurité ici ont recompilé eux même le noyau de l’OS qu’ils utilisent, et pas juste installé l’ISO de leur distribution préférée sans se soucier de ce que l’éditeur ait pu modifier ou pas ^^”
  
  C’est un argument qui revient souvent et que je trouve stupide.
  C’est comme dire: j’espère que ceux qui achètent leur médicament en pharmacie font des tests pour savoir ce que contiennent les pilules, sinon, ils sont bêtes de prétendre que leur médicaments sont plus sur que ceux que j’achète au noir dans une ruelle à un type dont je ne connais pas le nom.
  
  La confiance dépend de mon évaluation des intérêts et des risques pris par la personne ne face de moi:
  si mon pharmacien me vend des produits foireux, il perdra son commerce et aura des ennuis.
  si le vendeur dans la ruelle me vend des produits foireux, il peut s’en sortir bien plus facilement.
  
  La vérification en soit n’est pas importante, c’est le fait que je puisse, si je le souhaite, faire la vérification, qui fait que ça met bien plus de pression sur l’entreprise pour garantir la confiance.
  

maxscript a écrit :

je dis pas que t’as tord ou raison, mais t’as quand même quelques arguments de comparaison foireux .. " />


Les comparaisons ont pour but de faire comprendre le mécanisme que je souhaite montrer.
Je n’ai jamais dit, par exemple: la différence de confiance que j’ai entre le logiciel libre vs le logiciel proprio est la même que j’ai entre mon pharmacien et un inconnu dans une ruelle.
J’ai dit: la confiance se base surtout sur l’évaluation des intérêts de la personne à profiter de l’arnaque, pour faire comprendre ça, j’utilise un exemple évident: le cas du pharmacien. Et je pose ensuite la question: pourquoi ce mécanisme serait-il négligeable pour le logiciel ?